प्लेटफ़ॉर्म
wordpress
घटक
userspn
में ठीक किया गया
1.1.16
1.1.20
CVE-2026-4003 represents a critical Privilege Escalation vulnerability affecting the Users manager – PN plugin for WordPress. This flaw allows attackers to bypass authorization checks and arbitrarily modify user metadata, potentially leading to unauthorized access and control. The vulnerability impacts versions up to 1.1.15, but a fix is available in version 1.1.20, released on April 7, 2026.
WordPress प्लगइन 'Users manager – PN' में CVE-2026-4003 भेद्यता एक गंभीर विशेषाधिकार वृद्धि जोखिम का प्रतिनिधित्व करती है। यह एक हमलावर को, भले ही वह प्रमाणीकृत न हो, वेबसाइट पर किसी भी उपयोगकर्ता मेटाडेटा को संशोधित करने की अनुमति देता है। यह भेद्यता userspnajaxnoprivserver() फ़ंक्शन में प्राधिकरण जांच की कमी के कारण होती है। गैर-प्रमाणीकृत उपयोगकर्ताओं को पूरी तरह से ब्लॉक करने के बजाय, तर्क केवल यह जांचता है कि userid खाली है या नहीं। यदि एक मान्य user_id प्रदान किया जाता है, तो उचित प्राधिकरण के बिना मेटाडेटा अपडेट निष्पादित किया जाएगा, जिससे उपयोगकर्ता प्रोफाइल, भूमिकाओं और अनुमतियों में हेरफेर किया जा सकता है। इससे पूरी WordPress वेबसाइट पर नियंत्रण, पहचान की चोरी और संवेदनशील जानकारी का खुलासा हो सकता है। CVSS स्कोर 9.8 एक गंभीर प्रभाव और उच्च शोषण संभावना का संकेत देता है।
एक हमलावर userspnajaxnoprivserver() फ़ंक्शन को एक मान्य userid के साथ दुर्भावनापूर्ण AJAX अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। अनुरोध में निर्दिष्ट उपयोगकर्ता के मेटाडेटा को अपडेट करने के लिए डेटा शामिल होगा। चूंकि प्राधिकरण जांच दोषपूर्ण है, इसलिए अनुरोध प्रमाणीकरण के बिना संसाधित किया जाएगा, जिससे हमलावर उपयोगकर्ता के मेटाडेटा को संशोधित करने की अनुमति मिलेगी। इसमें उपयोगकर्ता की भूमिका को व्यवस्थापक में बदलना, क्षमताओं को जोड़ना या हटाना, या उपयोगकर्ता से जुड़े किसी अन्य मेटाडेटा को संशोधित करना शामिल हो सकता है। शोषण अपेक्षाकृत सरल है और उन्नत तकनीकी कौशल की आवश्यकता नहीं होती है, जिससे हमलों का जोखिम बढ़ जाता है।
एक्सप्लॉइट स्थिति
EPSS
0.51% (66% शतमक)
CISA SSVC
CVSS वेक्टर
तत्काल उपाय 'Users manager – PN' प्लगइन को संस्करण 1.1.20 या उच्चतर में अपडेट करना है। यह संस्करण प्राधिकरण भेद्यता को ठीक करता है, जिससे एक मजबूत जांच लागू की जाती है जो अनधिकृत उपयोगकर्ताओं को उपयोगकर्ता मेटाडेटा को संशोधित करने से रोकती है। निवारक उपाय के रूप में, WordPress साइट पर उपयोगकर्ता अनुमतियों की समीक्षा करें और केवल अधिकृत कर्मियों को ही व्यवस्थापकीय पहुंच प्रतिबंधित करें। संभावित कमजोरियों को कम करने के लिए सभी प्लगइन्स और WordPress कोर को नियमित रूप से अपडेट करना भी महत्वपूर्ण है। शोषण से पहले सुरक्षा मुद्दों की पहचान करने और ठीक करने में मदद करने के लिए आवधिक सुरक्षा ऑडिट सहायक हो सकते हैं।
संस्करण 1.1.20 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVSS स्कोर 9.8 एक गंभीर भेद्यता का संकेत देता है जिसमें शोषण की उच्च संभावना है। यह वेबसाइट की सुरक्षा के लिए एक महत्वपूर्ण जोखिम का प्रतिनिधित्व करता है।
यदि आप तुरंत प्लगइन को अपडेट नहीं कर सकते हैं, तो जोखिम को कम करने के लिए अस्थायी रूप से इसे अक्षम करने पर विचार करें। आप कमजोर फ़ंक्शन तक पहुंच को अवरुद्ध करने के लिए फ़ायरवॉल नियम भी लागू कर सकते हैं।
अपनी WordPress साइट पर 'Users manager – PN' प्लगइन का संस्करण जांचें। यदि यह 1.1.20 से कम है, तो आपकी साइट कमजोर है।
ऐसे WordPress भेद्यता स्कैनर हैं जो इस भेद्यता का पता लगा सकते हैं। आप संदिग्ध गतिविधि के लिए सर्वर लॉग की भी जांच कर सकते हैं।
WordPress के लिए कई उपयोगकर्ता प्रबंधन प्लगइन उपलब्ध हैं। अनुसंधान करें और एक को चुनें जिसमें सुरक्षा और नियमित अपडेट के लिए अच्छी प्रतिष्ठा हो।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।